Ubuntu Server Guide Changes, errors and bugs


Download 1.27 Mb.
Pdf ko'rish
bet27/37
Sana09.10.2020
Hajmi1.27 Mb.
#132985
1   ...   23   24   25   26   27   28   29   30   ...   37
Bog'liq
ubuntu-server-guide


Postfix
Postfix is the default Mail Transfer Agent (MTA) in Ubuntu. It attempts to be fast and secure, with
flexibility in administration. It is compatible with the MTA sendmail. This section will explain installation,
including how to configure SMTP for secure communications.
Note
This guide does not cover setting up Postfix Virtual Domains, for information on Virtual Domains
and other advanced configurations see References.
250

Installation
To install Postfix run the following command:
sudo apt i n s t a l l p o s t f i x
For now, it is ok to simply accept defaults by pressing return for each question. Some of the configuration
options will be investigated in greater detail in the next stage.
Deprecation warning: please note that the mail−stack−delivery metapackage has been dep-
recated in Focal. The package still exists for compatibility reasons, but won’t setup a working
email system.
Basic Configuration
There are four things you should decide before starting configuration: - The  for which you’ll
accept email (we’ll use mail.example.com in our example) - The network and class range of your mail server
(we’ll use 192.168.0.0/24) - The username (we’re using steve) - Type of mailbox format (mbox is default,
we’ll use the alternative, Maildir)
To configure postfix, run the following command:
sudo dpkg−r e c o n f i g u r e p o s t f i x
The user interface will be displayed. On each screen, select the following values:
• Internet Site
• mail.example.com
• steve
• mail.example.com, localhost.localdomain, localhost
• No
• 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
• 0
• +
• all
To set the mailbox format, you can either edit the configuration file directly, or use the postconf command.
In either case, the configuration parameters will be stored in /etc/postfix/main.cf file. Later if you wish to
re-configure a particular parameter, you can either run the command or change it manually in the file.
To configure the mailbox format for Maildir:
sudo p o s t c o n f −e ’ home_mailbox = M a i l d i r / ’
Note
This will place new mail in /home/username/Maildir so you will need to configure your Mail
Delivery Agent (MDA) to use the same path.
SMTP Authentication
SMTP-AUTH allows a client to identify itself through the SASL authentication mechanism, using Transport
Layer Security (TLS) to encrypt the authentication process. Once authenticated the SMTP server will allow
the client to relay mail.
To configure Postfix for SMTP-AUTH using SASL (Dovecot SASL), run these commands at a terminal
prompt:
251

sudo p o s t c o n f −e ’ smtpd_sasl_type = dovecot ’
sudo p o s t c o n f −e ’ smtpd_sasl_path = p r i v a t e / auth ’
sudo p o s t c o n f −e ’ smtpd_sasl_local_domain =’
sudo p o s t c o n f −e ’ s m t p d _ s a s l _ s e c u r i t y _ o p t i o n s = noanonymous , n o p l a i n t e x t ’
sudo p o s t c o n f −e ’ s m t p d _ s a s l _ t l s _ s e c u r i t y _ o p t i o n s = noanonymous ’
sudo p o s t c o n f −e ’ b r o k e n _ s a s l _ a u t h _ c l i e n t s = yes ’
sudo p o s t c o n f −e ’ smtpd_sasl_auth_enable = yes ’
sudo p o s t c o n f −e ’ s m t p d _ r e c i p i e n t _ r e s t r i c t i o n s = \
p e r m i t _ s a s l _ a u t h e n t i c a t e d , permit_mynetworks , r e j e c t _ u n a u t h _ d e s t i n a t i o n ’
Note
The smtpd_sasl_path config parameter is a path relative to the Postfix queue directory.
There are several SASL mechanism properties worth evaluating to improve the security of your deployment.
The options “noanonymous,noplaintext” prevent use of mechanisms that permit anonymous authentication
or that transmit credentials unencrypted.
Next, generate or obtain a digital certificate for TLS. See security - certificates in this guide for details about
generating digital certificates and setting up your own Certificate Authority (CA).
Note
MUAs connecting to your mail server via TLS will need to recognize the certificate used for TLS.
This can either be done using a certificate from Let’s Encrypt, from a commercial CA or with a
self-signed certificate that users manually install/accept. For MTA to MTA TLS certficates are
never validated without advance agreement from the affected organizations. For MTA to MTA
TLS, unless local policy requires it, there is no reason not to use a self-signed certificate. Refer
to security - certificates in this guide for more details.
Once you have a certificate, configure Postfix to provide TLS encryption for both incoming and outgoing
mail:
sudo p o s t c o n f −e ’ s m t p _ t l s _ s e c u r i t y _ l e v e l = may ’
sudo p o s t c o n f −e ’ s m t p d _ t l s _ s e c u r i t y _ l e v e l = may ’
sudo p o s t c o n f −e ’ s m t p _ t l s _ n o t e _ s t a r t t l s _ o f f e r = yes ’
sudo p o s t c o n f −e ’ s m t p d _ t l s _ k e y _ f i l e = / e t c / s s l / p r i v a t e / s e r v e r . key ’
sudo p o s t c o n f −e ’ s m t p d _ t l s _ c e r t _ f i l e = / e t c / s s l / c e r t s / s e r v e r . c r t ’
sudo p o s t c o n f −e ’ s m t p d _ t l s _ l o g l e v e l = 1 ’
sudo p o s t c o n f −e ’ smtpd_tls_received_header = yes ’
sudo p o s t c o n f −e ’ myhostname = m a i l . example . com ’
If you are using your own Certificate Authority to sign the certificate enter:
sudo p o s t c o n f −e ’ smtpd_tls_CAfile = / e t c / s s l / c e r t s / c a c e r t . pem ’
Again, for more details about certificates see security - certificates in this guide.
Note
After running all the commands, Postfix is configured for SMTP-AUTH and a self-signed certifi-
cate has been created for TLS encryption.
Now, the file /etc/postfix/main.cf should look like this:
# See / u s r / s h a r e / p o s t f i x /main . c f . d i s t f o r a commented , more c o m p l e t e
# v e r s i o n
smtpd_banner = $myhostname ESMTP $mail_name ( Ubuntu )
b i f f = no
252

# appending . domain i s t h e MUA’ s j o b .
append_dot_mydomain = no
# Uncomment t h e next l i n e t o g e n e r a t e ” d e l a y e d m a i l ” w ar n i n g s
#delay_warning_time = 4h
myhostname = s e r v e r 1 . example . com
alias_maps = hash : / e t c / a l i a s e s
a l i a s _ d a t a b a s e = hash : / e t c / a l i a s e s
m y o r i g i n = / e t c / mailname
m y d e s t i n a t i o n = s e r v e r 1 . example . com , l o c a l h o s t . example . com , l o c a l h o s t
r e l a y h o s t =
mynetworks = 1 2 7 . 0 . 0 . 0 / 8
mailbox_command = p r o c m a i l −a ”$EXTENSION”
m a i l b o x _ s i z e _ l i m i t = 0
r e c i p i e n t _ d e l i m i t e r = +
i n e t _ i n t e r f a c e s = a l l
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = y e s
s m t p d _ s a s l _ s e c u r i t y _ o p t i o n s = noanonymous
b r o k e n _ s a s l _ a u t h _ c l i e n t s = y e s
s m t p d _ r e c i p i e n t _ r e s t r i c t i o n s =
p e r m i t _ s a s l _ a u t h e n t i c a t e d , permit_mynetworks , r e j e c t _unauth_destination
smtpd_tls_auth_only = no
s m t p _ t l s _ s e c u r i t y _ l e v e l = may
s m t p d _ t l s _ s e c u r i t y _ l e v e l = may
s m t p _ t l s _ n o t e _ s t a r t t l s _ o f f e r = y e s
s m t p d _ t l s _ k e y _ f i l e = / e t c / s s l / p r i v a t e /smtpd . key
s m t p d _ t l s _ c e r t _ f i l e = / e t c / s s l / c e r t s /smtpd . c r t
smtpd_tls_CAfile = / e t c / s s l / c e r t s / c a c e r t . pem
s m t p d _ t l s _ l o g l e v e l = 1
smtpd_tls_received_header = y e s
smtpd_tls_session_cache_timeout = 3600 s
tls_random_source = dev : / dev /urandom
The postfix initial configuration is complete. Run the following command to restart the postfix daemon:
sudo s y s t e m c t l r e s t a r t p o s t f i x . s e r v i c e
Postfix supports SMTP-AUTH as defined in RFC2554. It is based on SASL. However it is still necessary to
set up SASL authentication before you can use SMTP-AUTH.
When using ipv6, the mynetworks parameter may need to be modified to allow ipv6 addresses, for example:
mynetworks = 1 2 7 . 0 . 0 . 0 / 8 , [ : : 1 ] / 1 2 8
Configuring SASL
Postfix supports two SASL implementations: Cyrus SASL and Dovecot SASL. To enable Dovecot SASL the
dovecot-core package will need to be installed:
sudo apt i n s t a l l dovecot−c o r e
Next, edit /etc/dovecot/conf.d/10−master.conf and change the following:
253

s e r v i c e auth {
# auth_socket_path p o i n t s t o t h i s us e rdb s o c k e t by d e f a u l t . I t ’ s t y p i c a l l y
# used by dovecot−lda , doveadm , p o s s i b l y imap p r o c e s s , e t c . I t s d e f a u l t
# p e r m i s s i o n s make i t r e a d a b l e o n l y by r o o t , but you may need t o r e l a x t h e s e
# p e r m i s s i o n s . U s e r s t h a t have a c c e s s t o t h i s s o c k e t a r e a b l e t o g e t a l i s t
# o f a l l usernames and g e t r e s u l t s o f everyone ’ s u s e r d b l o o k u p s .
u n i x _ l i s t e n e r auth−us er d b {
#mode = 0600
#u s e r =
#group =
}
# P o s t f i x smtp−auth
u n i x _ l i s t e n e r / var / s p o o l / p o s t f i x / p r i v a t e / auth {
mode = 0660
u s e r = p o s t f i x
group = p o s t f i x
}
To permit use of SMTP-AUTH by Outlook clients, change the following line in the authentication mechanisms
section of /etc/dovecot/conf.d/10−auth.conf from:
auth_mechanisms = p l a i n
to this:
auth_mechanisms = p l a i n l o g i n
Once you have Dovecot configured, restart it with:
sudo s y s t e m c t l r e s t a r t d o v e c o t . s e r v i c e
Testing
SMTP-AUTH configuration is complete. Now it is time to test the setup.
To see if SMTP-AUTH and TLS work properly, run the following command:
t e l n e t m a i l . example . com 25
After you have established the connection to the Postfix mail server, type:
e h l o m a i l . example . com
If you see the following in the output, then everything is working perfectly. Type quit to exit.
250−STARTTLS
250−AUTH LOGIN PLAIN
250−AUTH=LOGIN PLAIN
250 8BITMIME
Troubleshooting
When problems arise, there are a few common ways to diagnose the cause.
254

Escaping chroot
The Ubuntu Postfix package will by default install into a chroot environment for security reasons. This can
add greater complexity when troubleshooting problems.
To turn off the chroot usage, locate the following line in the /etc/postfix/master.cf configuration file:
smtp
i n e t
n




smtpd
and modify it as follows:
smtp
i n e t
n

n


smtpd
You will then need to restart Postfix to use the new configuration. From a terminal prompt enter:
sudo s e r v i c e p o s t f i x r e s t a r t
SMTPS
If you need secure SMTP, edit /etc/postfix/master.cf and uncomment the following line:
smtps
i n e t
n




smtpd
−o smtpd_tls_wrappermode=y e s
−o smtpd_sasl_auth_enable=y e s
−o s m t p d _ c l i e n t _ r e s t r i c t i o n s=p e r m i t _ s a s l _ a u t h e n t i c a t e d , r e j e c t
−o milter_macro_daemon_name=ORIGINATING
Log Viewing
Postfix sends all log messages to /var/log/mail.log. However, error and warning messages can sometimes
get lost in the normal log output so they are also logged to /var/log/mail.err and /var/log/mail.warn
respectively.
To see messages entered into the logs in real time you can use the tail -f command:
t a i l −f / var / l o g / m a i l . e r r
Increasing Logging Detail
The amount of detail that is recorded in the logs can be increased via the configuration options. For example,
to increase TLS activity logging set the smtpd_tls_loglevel option to a value from 1 to 4.
sudo p o s t c o n f −e ’ s m t p d _ t l s _ l o g l e v e l = 4 ’
Reload the service after any configuration change, to make the new config active:
sudo s y s t e m c t l r e l o a d p o s t f i x . s e r v i c e
Logging mail delivery
If you are having trouble sending or receiving mail from a specific domain you can add the domain to the
debug_peer_list parameter.
sudo p o s t c o n f −e ’ d e b u g _ p e e r _ l i s t = problem . domain ’
sudo s y s t e m c t l r e l o a d p o s t f i x . s e r v i c e
255

Increasing daemon verbosity
You can increase the verbosity of any Postfix daemon process by editing the /etc/postfix/master.cf and
adding a -v after the entry. For example, edit the smtp entry:
smtp
unix





smtp −v
Then, reload the service as usual:
sudo s y s t e m c t l r e l o a d p o s t f i x . s e r v i c e
Logging SASL debug info
To increase the amount of information logged when troubleshooting SASL issues you can set the following
options in /etc/dovecot/conf.d/10−logging.conf
auth_debug=y e s
auth_debug_passwords=y e s
Just like Postfix if you change a Dovecot configuration the process will need to be reloaded:
sudo s y s t e m c t l r e l o a d d o v e c o t . s e r v i c e
Note
Some of the options above can drastically increase the amount of information sent to the log files.
Remember to return the log level back to normal after you have corrected the problem. Then
reload the appropriate daemon for the new configuration to take affect.
References
Administering a Postfix server can be a very complicated task. At some point you may need to turn to the
Ubuntu community for more experienced help.
• The Postfix website documents all available configuration options.
• O’Reilly’s Postfix: The Definitive Guide is rather dated but provides deep background information
about configuration options.
• The Ubuntu Wiki Postfix page has more information from a Ubuntu context. There is also a Debian
Wiki Postfix page that’s a bit more up to date; they also have a set of Postfix Tutorials for different
Debian versions.
• Info on how to set up mailman3 with postfix
Squid
Squid is a full-featured web proxy cache server application which provides proxy and cache services for Hyper
Text Transport Protocol (HTTP), File Transfer Protocol (FTP), and other popular network protocols. Squid
can implement caching and proxying of Secure Sockets Layer (SSL) requests and caching of Domain Name
Server (DNS) lookups, and perform transparent caching. Squid also supports a wide variety of caching
protocols, such as Internet Cache Protocol (ICP), the Hyper Text Caching Protocol (HTCP), the Cache
Array Routing Protocol (CARP), and the Web Cache Coordination Protocol (WCCP).
The Squid proxy cache server is an excellent solution to a variety of proxy and caching server needs, and
scales from the branch office to enterprise level networks while providing extensive, granular access control
mechanisms, and monitoring of critical parameters via the Simple Network Management Protocol (SNMP).
When selecting a computer system for use as a dedicated Squid caching proxy server for many users ensure it
is configured with a large amount of physical memory as Squid maintains an in-memory cache for increased
performance.
256

Installation
At a terminal prompt, enter the following command to install the Squid server:
sudo apt i n s t a l l s q u i d
Configuration
Squid is configured by editing the directives contained within the /etc/squid/squid.conf configuration file.
The following examples illustrate some of the directives which may be modified to affect the behavior of the
Squid server. For more in-depth configuration of Squid, see the References section.
Tip
Prior to editing the configuration file, you should make a copy of the original file and protect
it from writing so you will have the original settings as a reference, and to re-use as necessary.
Make this copy and protect it from writing using the following commands:
sudo cp / e t c / s q u i d / s q u i d . c o n f / e t c / s q u i d / s q u i d . c o n f . o r i g i n a l
sudo chmod a−w / e t c / s q u i d / s q u i d . c o n f . o r i g i n a l
• To set your Squid server to listen on TCP port 8888 instead of the default TCP port 3128, change the
http_port directive as such:
http_port 8888
• Change the visible_hostname directive in order to give the Squid server a specific hostname. This
hostname does not necessarily need to be the computer’s hostname. In this example it is set to weezie
v i s i b l e _ h o s t n a m e w e e z i e
• The cache_dir option allows one to configure an on-disk cache, the default option is on-memory cache.
The cache_dir directive takes the following arguments:
c a c h e _ d i r    [ o p t i o n s ]
In the config file you can find the default cache_dir directive commented out:
# Uncomment and a d j u s t t h e f o l l o w i n g t o add a d i s k c a c h e d i r e c t o r y .
#c a c h e _ d i r u f s / var / s p o o l / s q u i d 100 16 256
You can just use the default option but you can also customize your cache directory, basically changing
the  of this directory, it can be:
– ufs: the old well-known Squid storage format that has always been there.
– aufs: uses the same storage format as ufs, utilizing POSIX-threads to avoid blocking the main
Squid process on disk-I/O. This was formerly known in Squid as async−io.
– diskd: uses the same storage format as ufs, utilizing a separate process to avoid blocking the main
Squid process on disk-I/O.
– rock: is a database-style storage. All cached entries are stored in a “database” file, using fixed-size
slots. A single entry occupies one or more slots.
If you want to use a different directory type please take a look at their different options.
• Using Squid’s access control, you may configure use of Internet services proxied by Squid to be available
only users with certain Internet Protocol (IP) addresses. For example, we will illustrate access by users
of the 192.168.42.0/24 subnetwork only:
Add the following to the bottom of the ACL section of your /etc/squid/squid.conf file:
257

a c l fortytwo_network s r c 1 9 2 . 1 6 8 . 4 2 . 0 / 2 4
Then, add the following to the top of the http_access section of your /etc/squid/squid.conf file:
h t t p _ a c c e s s a l l o w fortytwo_network
• Using the excellent access control features of Squid, you may configure use of Internet services proxied
by Squid to be available only during normal business hours. For example, we’ll illustrate access by
employees of a business which is operating between 9:00AM and 5:00PM, Monday through Friday, and
which uses the 10.1.42.0/24 subnetwork:
Add the following to the bottom of the ACL section of your /etc/squid/squid.conf file:
a c l biz_network s r c 1 0 . 1 . 4 2 . 0 / 2 4
a c l biz_hours time M T W T F 9:00 −17:00
Then, add the following to the top of the http_access section of your /etc/squid/squid.conf file:
h t t p _ a c c e s s a l l o w biz_network biz_hours
Note
After making changes to the /etc/squid/squid.conf file, save the file and restart the squid server
application to effect the changes using the following command entered at a terminal prompt:
sudo s y s t e m c t l r e s t a r t s q u i d . s e r v i c e
Note
If formerly a customized squid3 was used that set up the spool at /var/log/squid3 to be a
mountpoint, but otherwise kept the default configuration the upgrade will fail. The upgrade
tries to rename/move files as needed, but it can’t do so for an active mountpoint. In that case
please either adapt the mountpoint or the config in /etc/squid/squid.conf so that they match.
The same applies if the include config statement was used to pull in more files from the old path
at /etc/squid3/. In those cases you should move and adapt your configuration accordingly.
References
Squid Website
Ubuntu Wiki Squid page.
HTTPD - Apache2 Web Server
Apache is the most commonly used Web server on Linux systems. Web servers are used to serve Web pages
requested by client computers. Clients typically request and view Web pages using Web browser applications
such as Firefox, Opera, Chromium, or Internet Explorer.
Users enter a Uniform Resource Locator (URL) to point to a Web server by means of its Fully Qualified
Domain Name (FQDN) and a path to the required resource. For example, to view the home page of the
Ubuntu Web site a user will enter only the FQDN:
www. ubuntu . com
To view the community sub-page, a user will enter the FQDN followed by a path:
www. ubuntu . com/community
258

The most common protocol used to transfer Web pages is the Hyper Text Transfer Protocol (HTTP). Proto-
cols such as Hyper Text Transfer Protocol over Secure Sockets Layer (HTTPS), and File Transfer Protocol
(FTP), a protocol for uploading and downloading files, are also supported.
Apache Web Servers are often used in combination with the MySQL database engine, the HyperText Pre-
processor (PHP) scripting language, and other popular scripting languages such as Python and Perl. This
configuration is termed LAMP (Linux, Apache, MySQL and Perl/Python/PHP) and forms a powerful and
robust platform for the development and deployment of Web-based applications.
Installation
The Apache2 web server is available in Ubuntu Linux. To install Apache2:
At a terminal prompt enter the following command:
sudo apt i n s t a l l apache2
Configuration
Apache2 is configured by placing directives in plain text configuration files. These directives are separated
between the following files and directories:
• apache2.conf: the main Apache2 configuration file. Contains settings that are global to Apache2.
• httpd.conf: historically the main Apache2 configuration file, named after the httpd daemon. In other
distributions (or older versions of Ubuntu), the file might be present. In Ubuntu, all configuration
options have been moved to apache2.conf and the below referenced directories, and this file no longer
exists.
• conf-available: this directory contains available configuration files. All files that were previously in
/etc/apache2/conf.d should be moved to /etc/apache2/conf−available.
• conf-enabled: holds symlinks to the files in /etc/apache2/conf−available. When a configuration file is
symlinked, it will be enabled the next time apache2 is restarted.
• envvars: file where Apache2 environment variables are set.
• mods-available: this directory contains configuration files to both load modules and configure them.
Not all modules will have specific configuration files, however.
• mods-enabled: holds symlinks to the files in /etc/apache2/mods−available. When a module configura-
tion file is symlinked it will be enabled the next time apache2 is restarted.
• ports.conf: houses the directives that determine which TCP ports Apache2 is listening on.
• sites-available: this directory has configuration files for Apache2 Virtual Hosts. Virtual Hosts allow
Apache2 to be configured for multiple sites that have separate configurations.
• sites-enabled: like mods-enabled, sites −enabled contains symlinks to the /etc/apache2/sites−available
directory. Similarly when a configuration file in sites-available is symlinked, the site configured by it
will be active once Apache2 is restarted.
• magic: instructions for determining MIME type based on the first few bytes of a file.
In addition, other configuration files may be added using the Include directive, and wildcards can be used to
include many configuration files. Any directive may be placed in any of these configuration files. Changes
to the main configuration files are only recognized by Apache2 when it is started or restarted.
259

The server also reads a file containing mime document types; the filename is set by the TypesConfig directive,
typically via /etc/apache2/mods−available/mime.conf, which might also include additions and overrides, and
is /etc/mime.types by default.
Download 1.27 Mb.

Do'stlaringiz bilan baham:
1   ...   23   24   25   26   27   28   29   30   ...   37




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling